Blog/Sécuriser/Les 5 erreurs de sécurité qui coûtent le plus cher aux PME
Cybersécurité5 min de lecture

Les 5 erreurs de sécurité qui coûtent le plus cher aux PME

Mots de passe partagés, sauvegardes non testées, accès non révoqués… Ces erreurs semblent anodines mais peuvent paralyser une entreprise en quelques heures.

Les 5 erreurs de sécurité qui coûtent le plus cher aux PME
C
Cédric LAURENT
·15 janvier 2026·Pilier 1 — Sécuriser

La plupart des incidents de sécurité que nous traitons chez M:armites ne viennent pas d'attaques sophistiquées. Ils viennent d'erreurs simples, connues, évitables. Voici les cinq qui reviennent le plus souvent — et qui coûtent le plus cher.

1. Les mots de passe partagés et non renouvelés

Un mot de passe de messagerie partagé entre 3 collaborateurs. Un accès VPN avec le même code depuis 4 ans. Un compte administrateur commun sans historique d'utilisation. C'est banal, c'est risqué, et c'est présent dans 80 % des PME que nous auditons.

Quand un collaborateur part, ces accès restent actifs. Quand un mot de passe fuite (ce qui arrive régulièrement via des services tiers), il ouvre une porte que personne ne surveille. La solution : un gestionnaire de mots de passe d'entreprise (Bitwarden Business, 1Password Teams) et une politique de renouvellement annuel au minimum.

2. Des sauvegardes non testées — ou inexistantes

Avoir une sauvegarde ne suffit pas. Ce qui compte, c'est de savoir si elle fonctionne avant d'en avoir besoin. Nous voyons régulièrement des entreprises découvrir — après un incident — que leur sauvegarde est corrompue, incomplète, ou inaccessible.

La règle 3-2-1 reste la référence : 3 copies des données, sur 2 supports différents, dont 1 hors site. Et un test de restauration au moins tous les trimestres. Un test simulé vaut mieux qu'une vraie crise.

3. Des accès non révoqués après un départ

Un ancien employé conserve son accès à la messagerie, aux outils métier, parfois au VPN. Ce n'est pas malveillant par défaut — c'est souvent un oubli de procédure. Mais les conséquences peuvent être sérieuses : fuite de données, accès concurrent à des dossiers clients, ou plus grave.

La bonne pratique : un checklist de départ formalisé qui inclut systématiquement la révocation de tous les accès dans les 24h. Avec Microsoft 365 ou Google Workspace, cela prend 10 minutes.

4. Aucune gestion des mises à jour

Les failles de sécurité sont publiées publiquement dès qu'un correctif est disponible. Cela signifie que ne pas appliquer les mises à jour, c'est exposer son infrastructure à des attaques ciblant des vulnérabilités connues. C'est l'équivalent de laisser la porte ouverte avec le code d'alarme affiché dessus.

Chez M:armites, nous gérons les mises à jour de façon proactive via notre RMM. Pour vos postes, activez les mises à jour automatiques Windows ou macOS. Pour vos serveurs et équipements réseau, planifiez des fenêtres de maintenance mensuelles.

5. Aucune formation des équipes à la détection du phishing

Le phishing représente la porte d'entrée de la grande majorité des cyberattaques réussies. Un email convaincant, une fausse page de connexion, et c'est terminé. Pourtant, un collaborateur bien formé peut détecter 90 % de ces tentatives.

La formation n'a pas besoin d'être longue : 30 minutes par an sur les signaux d'alerte (expéditeur suspect, lien qui ne correspond pas au domaine, urgence artificielle) font une différence mesurable. Certains outils permettent aussi d'envoyer des simulations de phishing pour tester et sensibiliser.

En résumé

Ces cinq erreurs ont en commun d'être simples à corriger — mais elles nécessitent une démarche active. L'informatique sécurisée ne se fait pas toute seule. Si vous voulez évaluer votre exposition sur ces points, notre audit de sécurité initial couvre exactement ces axes en une demi-journée.

C

Cédric LAURENT

Fondateur de M:armites. 25 ans d'expérience dans l'infogérance pour les PME. Passionné par l'idée que l'informatique doit être un levier de performance, pas une contrainte.

Votre situation

Un point sur votre informatique ?

On passe en revue votre infrastructure, vos risques, vos outils. En 1h30, vous avez une image claire.

Demander un audit →
← Retour au blog
Catégorie : Sécuriser